Pandora FMS نرم‌ا‌فزاری جهت نظارت بر شبکه‌های کامپیوتری است که امکان رصد بصری وضعیت و عملکرد چندین پارامتر از سیستمهای عامل، سرورها، برنامه‌های کاربردی و سیستم‌های سخت‌افزاری مختلف مانند فایروال‌ها، پروکسی‌ها، پایگاه‌های داده، وب سرورها یا روترها را فراهم می‌کند. طبق تحقیقات به عمل آمده، چند آسیب‌پذیری با شدت‌های پایین، متوسط و پرخطر در نرم‌ا‌فزار Pandora FMS کشف شده‌اند. این آسیب‌پذیری‌ها که ناشی از عدم بررسی مناسب ورودی می‌باشند، به مهاجم امکان اجرای حملات تزریق کد جاوااسکریپت(XSS) و SQL را می‌دهند.این آسیب‌پذیری‌ها به شرح ذیل می‌باشند:
 

•     CVE-20230-41813: به مهاجم امکان ویرایش اعلانات کاربر در کنسول وب را می‌دهد. شدت  این آسیب‌پذیری CVSS 3.0 می‌باشد.
•     CVE-20230-41814: هنگامی که کاربر قربانی اعلان‌های خود را باز می‌کند، از طریق یک payload HTML (تگ iframe) می‌توان حملات XSS را انجام داد و کد مخرب بر دستگاه کاربر اجرا می‌شود. شدت  این آسیب‌پذیری CVSS 3.7 می‌باشد.
•     CVE-20230-41815: در صورت بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری، می‌توان کدهای مخرب را در بخش مدیریت فایل اجرا کرد. شدت  این آسیب‌پذیری CVSS 7.5 می‌باشد.
•     CVE-20230-44088: این نقص امنیتی مربوط به تزریق کد SQL می‌باشد و به مهاجم با هر سطح دسترسی (هرچند پایین) اجازه اجرای این حملات را می‌دهد. شدت  این آسیب‌پذیری CVSS 5.9 می‌باشد.
•     CVE-20230-44089: این آسیب‌پذیری نیز امکان اجرای حملات XSS توسط مهاجم را فراهم خواهد کرد و امتیاز  آن CVSS 6.1 می‌باشد.

محصولات تحت تأثیر
کلیه آسیب‌پذیری‌های فوق‌الذکر، نسخه‌های 700 الی 774 نرم‌افزار Pandora FMS را تحت تأثیر خود قرار می‌دهند.

توصیه‌های امنیتی 
به کاربران توصیه می‌شود در اسرع وقت نرم‌افزار Pandora FMS را به نسخه‌های بالاتر از 774 ارتقاء دهند.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-41813 
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-41814
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-41815
[4] https://nvd.nist.gov/vuln/detail/CVE-2023-44088
[5] https://nvd.nist.gov/vuln/detail/CVE-2023-44089    

مایکروسافت بار دیگر به دنبال فعالیت‌های مخرب توسط مهاجمانی با انگیزه مالی، گامی برای غیر فعال کردن پروتکل MSIX ms-appinstaller برداشته است.
مهاجمان از یک آسیب‌پذیری با شناسه CVE-2021-43890 و شدت  7.1 در Windows AppX Installer برای دور زدن پروتکل‌های امنیتی تعیین شده برای محافظت از کاربران ویندوز در برابر تهدیدات مخرب، بهره‌برداری کردند، از جمله دور زدن مؤلفه ضد فیشینگ و ضد بدافزار Defender SmartScreen و همچنین هشدارهای مرورگر برای هشدار به کاربران در مورد خطرات احتمالی مرتبط با دانلود فایل‌های اجرایی.
نحوه بهره‌برداری از این آسیب‌پذیری به این شرح است که یک مهاجم می‌تواند با ایجاد یک پیوست مخرب، کاربر را متقاعد کند که این پیوست جعلی را باز کرده و با هر سیاستی که در طراحی باج‌افزار خود به کاربرده است، کاربر را مورد اخاذی قرار دهد.
 

توصیه‌های امنیتی
شرکت مایکروسافت نصب App installer نسخه 1.21.3421.0 یا بالاتر را برای ارتقاء امنیت سیستم‌های خود، به کاربران توصیه می‌کند.
این شرکت همچنین به کاربرانی که نمی‌توانند در اسرع وقت App installer را به آخرین نسخه به‌روزرسانی کنند، توصیه کرده است که با تنظیم Group Policy EnableMSAppInstallerProtocol روی Disabled، این پروتکل را غیرفعال کنند.

منابع خبر:

[1]  https://www.bleepingcomputer.com/news/microsoft/microsoft-disables-msix-protocol-handler-abused-in-…
[2]  https://msrc.microsoft.com/update-guide/advisory/CVE-2021-43890

اخیراً یک بدافزار جدید اندرویدی به نام Xamalicious کشف شده است که حدود 338،300 دستگاه را از طریق برنامه‌های مخرب در فروشگاه رسمی اندروید یعنی Google Play آلوده کرده است. شرکت McAfee همچنین 14 اپلیکیشن آلوده را در Google Play شناسایی کرده است، که سه مورد از آنها هر کدام بیش از 100،000 نصب داشته‌اند. هرچند که این اپلیکیشن‌ها از Google Play حذف شده‌اند، اما کاربرانی که آن‌ها را از میانه سال 2020 نصب کرده‌اند، ممکن است هنوز هم برنامه مخرب فعالی از Xamalicious در گوشی‌های خود داشته باشند که نیازمند اسکن و پاک‌سازی دستی است.

اپلیکیشن‌های آلوده به Xamalicious عبارتند از:
•    Essential Horoscope for Android  با بیش از 100،000 نصب
•    3D Skin Editor for PE Minecraft  با بیش از 100،000 نصب
•     Logo Maker Pro با بیش از 100،000 نصب
•     Auto Click Repeater با 10،000 نصب
•     Count Easy Calorie Calculator با 10،000 نصب
•     Dots: One Line Connector با 10،000 نصب
•     Sound Volume Extender با 5،000 نصب

همچنین یک مجموعه جداگانه شامل 12 اپلیکیشن مخرب آلوده به Xamalicious وجود دارد که آمار دانلود آن‌ها در دسترس نیست. این اپلیکیشن‌ها از طریق فروشگاه‌های غیررسمی اپلیکیشن به صورت فایل‌های APK قابل دانلود، کاربران را آلوده می‌کنند.
Xamalicious یک بدافزار اندرویدی مبتنی بر NET. است که به صورت جاسازی شده (به شکل 'Core.dll'  و 'GoogleService.dll' ) در داخل برنامه‌های توسعه یافته با استفاده از چارچوب منبع باز  Xamarin، قرار دارد که تجزیه و تحلیل کد آن را دشوارتر می‌کند.
این بدافزار پس از نفوذ به دستگاه آسیب‌دیده، سرویس دسترسی (Accessibility Service) را درخواست می‌دهد. این مجوز به این بدافزار اجازه انجام عملیات اختصاصی مانند مخفی کردن عناصر صفحه نمایش و اختصاص مجوزهای اضافی به خود را می‌دهد. همچنین، این دسترسی بالا به بدافزار این امکان را می‌دهد که فعالیت‌های مخرب متنوعی را در دستگاه آلوده انجام دهد.
در مرحله بعد،  Xamalicious با سرور C2 (فرمان و کنترل) ارتباط برقرار کرده و در صورت تطابق با پیش‌نیازهای جغرافیایی، شبکه، تنظیمات دستگاه و وضعیت روت، دستورالعمل (DLL) مرحله دوم به نام 'cache.bin' را از سرور دریافت می‌کند.

بدافزار Xamalicious توانایی اجرای دستورات زیر را دارد:
•    DevInfo  : جمع‌آوری اطلاعات دستگاه و سخت‌افزار، شامل شناسه  Android، برند، پردازنده، مدل، نسخه سیستم‌عامل، زبان، وضعیت گزینه‌های توسعه‌دهنده، جزئیات SIM و  firmware.
•    GeoInfo : تعیین مکان جغرافیایی دستگاه با استفاده از آدرس IP، جمع‌آوری نام ISP، سازمان، خدمات و یک امتیاز برای شناسایی کاربران غیرمجاز.
•    EmuInfo : فهرست adbProperties برای اطمینان از اینکه مشتری یک دستگاه واقعی یا یک شبیه‌ساز است؛ بررسی پردازنده، حافظه، سنسورها، پیکربندی USB و وضعیت  ADB.
•    RootInfo : شناسایی اینکه دستگاه روت شده است یا خیر با استفاده از روش‌های مختلف و ارائه وضعیت روت.
•    Packages : لیست کلیه برنامه‌های سیستمی و شخصی‌سازی شده نصب شده در دستگاه با استفاده از دستورات سیستم.
•    Accessibility : گزارش وضعیت مجوزهای خدمات دسترسی.
•    GetURL : درخواست پی‌لود مرحله دوم از سرور C2 با ارائه شناسه Android و دریافت وضعیت و احتمالاً یک DLL جمع‌آوری‌شده.

همچنین McAfee ارتباطاتی بین Xamalicious و یک اپلیکیشن مخرب تبلیغاتی به نام 'Cash Magnet' پیدا کرده است، که به صورت خودکار با کلیک بر روی تبلیغات، نرم‌افزارهای تبلیغاتی را در دستگاه قربانی نصب کرده و درآمدی برای اپراتورهایش ایجاد می‌کند.
بنابراین، احتمالاً Xamalicious هم عملیات مخرب در تبلیغات را روی دستگاه‌های آلوده انجام می‌دهد که می‌تواند کارایی پردازنده و پهنای باند شبکه را کاهش دهد.
هرچند Google Play از آپلود بدافزار مصون نیست، اما تلاش‌هایی جهت شناسایی و حذف تهدیدات جدیدی که در فروشگاه اپلیکیشن ظاهر می‌شوند، انجام می‌شود، که این امر در پلتفرم‌های غیررسمی و کمتر نظارت شده اتفاق نمی‌افتد.
 

توصیه‌های امنیتی
کاربران اندروید باید از دانلود اپلیکیشن‌ها از منابع ناشناخته خودداری کنند، خود را به اپلیکیشن‌های ضروری محدود کنند، قبل از نصب، نظرات کاربران را به دقت بخوانند، و یک بررسی کلی از توسعه‌دهنده/ناشر اپلیکیشن  انجام دهند تا آلودگی به بدافزارها در دستگاه‌های تلفن همراه خود را به حداقل برسانند.
 

منبع خبر:

[1] https://www.bleepingcomputer.com/news/security/new-xamalicious-android-malware-installed-330k-times…

یک آسیب‌پذیری با شناسه‌ CVE-2023-49299 و شدت بالا در Apache شناسایی شده است که به‌دلیل عدم اعتبارسنجی درست ورودی، امکان اجرای کد جاوااسکریپت دلخواه (بدون sandboxed) بر روی سرور (به عنوان root)، را برای مهاجم احراز هویت شده فراهم می‌آورد.

محصولات تحت تأثیر
این آسیب‌پذیری محصول Apache DolphinScheduler نسخه‌های قبل از 3.1.9 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء محصول Apache DolphinScheduler به نسخه‌ 3.1.9 اقدام نمایند.

منبع خبر:

[1] https://lists.apache.org/thread/tnf99qoc6tlnwrny4t1zk6mfszgdsokm

آپاچی OFBiz مجموعه‌ای جامع از ابزارها را برای خودکارسازی فرآیندهای سازمان و تجارت الکترونیک را ارائه می‌دهد. OFBiz یک نرم‌افزار منبع باز و بخشی از بنیاد نرم‌افزاری آپاچی است و یک انتخاب برتر برای شرکت‌هایی است که به دنبال راه‌حل‌های قابل اعتماد و مقیاس‌پذیر هستند. با این حال، اخیراً دو آسیب‌پذیری امنیتی در این نرم‌افزار شناسایی شده است.
نقص اول با شناسه CVE-2023-50968، یک آسیب‌پذیری خواندن ویژگی‌های فایل و حمله SSRF است که با شدت «مهم» ارزیابی شده و امکان خواندن ویژگی‌های فایل یا امکان دسترسی غیرمجاز به جزئیات فایل را برای مهاجم فراهم می‌کند. همچنین، راه‌هایی را برای حملات SSRF باز می‌کند، به طوری‌که مهاجمان ممکن است سرور را با ارسال درخواست‌های تقلبی فریب دهند.
آسیب‌پذیری دوم با شناسه CVE-2023-51467، یک نقص اجرای کد از راه دور (RCE) است که با شدت «بحرانی» ارزیابی شده و به مهاجم اجازه اجرای کد از راه دور و بدون احراز هویت را می‌دهد و مهاجم می‌تواند کنترل سیستم را به‌ دست آورد.

محصولات آسیب‌پذیر
تمام نسخه‌های آپاچی OFBiz تا قبل از نسخه 18.12.11 در برابر نقص‌های امنیتی مذکور، آسیب‌پذیر هستند.

توصیه‌های امنیتی
آسیب‌پذیری‌های فوق در نسخه 18.12.11 از نرم‌افزار OFBiz وصله شده‌اند و کاربران می‌توانند سیستم‌های خود را به این نسخه به‌روزرسانی کنند.
برای جلوگیری از خطرات احتمالی ناشی از آسیب‌پذیری‌های مطرح شده در  آپاچی OFBiz، می‌توانید اقدامات امنیتی زیر را انجام دهید:
•    به‌روزرسانی نرم‌افزار به نسخه وصله‌شده
•    پیکربندی صحیح
•    کنترل دسترسی
•    پیکربندی دیواره آتش به‌ نحوی که دسترسی به سرویس‌ها و پورت‌های غیرضروری محدود شود.

منابع خبر:

[1] https://meterpreter.org/cve-2023-51467-cve-2023-50968-critical-security-vulnerabilities-in-apache-o…
[2] https://www.cve.org/CVERecord?id=CVE-2023-51467

به گفته محققان امنیتی، در نرم‌افزار Library Management System متعلق به شرکت code-projects  یک آسیب‌پذیری شناسایی شده است. این آسیب‌پذیری با شناسه CVE-2023-7111، مهاجم را قادر می‌سازد که حمله تزریق بر روی پایگاه‌داده (SQLI) را در این نرم‌افزار اجرا کند. مهاجم برای استخراج اطلاعات از پایگاه‌داده، باید تمام مراحل زیر را به صورت کامل طی کند.
•    مهاجم ابتدا باید درخواست ارسالی خود  به این نرم افزار را از یک پروکسی (Proxy) مانند burpsuit عبور دهد. این درخواست باید حاوی پارامتر category باشد. با این پارامتر، مهاجم می‌تواند پی‌لودهای SQLI خود را در پایگاه‌داده تزریق کند.

•    اکنون که مهاجم پارامتر آسیب‌پذیر را پیدا کرده است، با استفاده از ابزار Sqlmap و با هدف استخراج اطلاعات، اقدام به پیاده‌سازی حمله SQLI می‌کند. در ادامه، دستور استفاده شده در ابزار  Sqlmap توسط مهاجم آورده شده است. همانطور که در دستور زیر مشخص است پی‌لودهای تزریق شده بر روی پارامتر category اعمال می‌گردد. همچنین مهاجم برای دور زدن WAF از دستکاری randomcase که به طور اتفاقی، کارکترهای پی‌لود را با حروف بزرگ و کوچک در درخواست‌ها ارسال می‌کند، بهره برده است.

python sqlmap.py -r r.txt -p category --risk 3 --level 5 --threads 1 --random-agent tamper=between,randomcase --proxy="http://127.0.0.1:8080" --dbms mysql --batch --current-db

•    پس از اجرای دستور بالا، مهاجم خروجی زیر را دریافت خواهد کرد. آنچه در این خروجی برای مهاجم اهمیت دارد، نام پایگاه‌داده فعلی ( current database: 'libsystem') است.

•    در پایان، مهاجم با اطلاعات به دست آمده از این خروجی و استفاده از سایر تنظیمات‌ ابزار Sqlmap، می‌تواند اطلاعات این پایگاه‌داده را استخراج کند. (تنظیماتی مانند --tables و نظایر آن)
 

محصولات تحت تأثیر
به گفته محققان امنیتی، نسخه 2.0 این نرم‌افزار در معرض این آسیب‌پذیری قرار دارد.

توصیه‌های امنیتی
  شرکت توسعه دهنده این نرم‌افزار، هنوز وصله امنیتی رسمی خود را برای مقابله با این آسیب‌پذیری ارائه نکرده است. با توجه به نوع این حمله (SQLI) از جمله راهکارهای ممکن برای مقابله با آن، می‌توان به موارد زیر اشاره کرد:
•    تعریف لیست سفید/ سیاه برای ورودی‌هایی که مقادیر آن توسط کاربر مشخص می‌گردد.
•    به منظور جلوگیری از تزریق پارامترهای مخرب، باید ورودی‌هایی که کاربر در درخواست خود ارسال می‌کند، اعتبار سنجی و صحت سنجی گردد.
•    استفاده از دیواره آتش (WAF)

منابع خبر:

[1] https://www.cve.org/CVERecord?id=CVE-2023-7111
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-7111
[3] https://vuldb.com/?id.249006

به تازگی، محققان امنیتی موفق به کشف یک آسیب‌پذیری حیاتی در پروتکل openssh با شناسه CVE-2023-51767 و شدت بالا (7.0) شده‌‌‌‌‌‌‌اند. OpenSSH، مخفف Open Secure Shell، مجموعه ای از ابزارهای شبکه ایمن مبتنی بر پروتکل  (SSH (Secure Shell  است. این ابزارها، یک کانال امن را بر روی یک شبکه ناامن در معماری سرویس گیرنده-سرور فراهم می‌‌‌‌‌‌‌کنند و دسترسی و ارتباط از راه دور ایمن بین رایانه‌‌‌‌‌‌‌ها را مهیا می‌‌‌‌‌‌‌کنند. مشخص شده است که این مجموعه در برابر نوع جدیدی از حمله به نام حمله Row Hammer آسیب‌‌‌‌‌‌‌پذیر است و خطرات امنیتی قابل توجهی دارد.
حمله Row Hammer، با دسترسی مکرر به یک مکان خاص در حافظه باعث می‌شود که بیت‌های ذخیره‌شده در آنجا ناپایدار شوند. در پی آن، مهاجم قادر به خواندن اشتباه محتویات حافظه رایانه قربانی خواهد بود که می‌‌‌‌‌‌‌تواند موجب دسترسی غیرمجاز به اطلاعات حساس یا حتی کنترل کامل سیستم شود. طبق این گزارش، این آسیب‌پذیری در بخشی است که OpenSSH، رمز عبور را در احراز هویت مدیریت می‌کند. هنگامی که کاربر سعی می‌‌‌‌‌‌‌کند وارد سیستم شود، OpenSSH رمز عبور وارد شده را در حافظه ذخیره می‌‌‌‌‌‌‌کند. اگر مهاجم بداند این رمز عبور در کجای حافظه قرار دارد، می‌تواند مکرراً به آن مکان دسترسی پیدا کند و باعث شود بیت‌ها برگردند و رمز عبور را به چیز دیگری تغییر داده و به سیستم دسترسی پیدا کند، حتی اگر رمز عبور صحیح را نداند. این آسیب‌پذیری به صورت ‌ویژه نگران‌کننده است، چرا که می‌تواند توسط مهاجمی که قبلاً کاربر دارای مجوز در سیستم هدف بوده است، مورد بهره‌برداری قرار گیرد. به عبارت دیگر، مهاجم نیازی به نفوذ به سیستم ندارد و تنها لازم است در وهله اول، مجوز دسترسی به آن را داشته باشد. لذا مهاجمان از این آسیب‌پذیری در محیط‌هایی که کاربران اغلب حساب‌های کاربری را به اشتراک می‌گذارند یا مجوزهای محدودی دارند، بهره‌برداری می‌‌‌‌‌‌‌کنند.
در مخزن GitHub openssh/libopenssh، در متن فایل C به نام auth-passwd.c اشاره شده است که این فایل، بخشی  از پروژه رسمی OpenSSH است. چنانچه در متن زیر دیده می شود، این فایل شامل اجرای تابع auth_password است که مطابق زیر برای احراز هویت کاربران با استفاده از رمز عبور به کار می‌‌‌‌‌‌‌رود.

result = sys_auth_passwd(ssh, password);

این خط برنامه، نتیجه فراخوانی تابع sys_auth_passwd را که در فایل دیگری به نام auth.c تعریف شده است، برمی گرداند. تابع بررسی می‌‌‌‌‌‌‌‌کند که آیا رمز عبور داده شده با رمز ذخیره شده در سیستم برای کاربر مرتبط با پارامتر authctxt مطابقت دارد یا خیر.
فایل منبع C دیگری به نام monitor.c در همان مخزن GitHub وجود دارد که شامل پیاده‌‌‌‌‌‌‌‌سازی کلاس مانیتور است که برای همگام‌‌‌‌‌‌‌‌سازی دسترسی به اشیاء در یک محیط چند‌‌‌‌‌‌‌‌رشته‌ای استفاده می‌‌‌‌‌‌‌‌شود. خط خاصی از کد که آسیب‌‌‌‌‌‌‌‌پذیری از آن استفاده می‌‌‌‌‌‌‌‌کند عبارت است از:

authenticated = mm_answer_pam_account

این خط پس از اینکه پروتکل احراز هویت، با موفقیت کاربر را تأیید کرد اجرا می‌شود. در متن زیر ساختار نمونه مانیتور نشان داده شده است که کلاسی است که دسترسی به اشیاء را در یک محیط چند رشته‌ای همگام می‌‌‌‌‌‌‌‌کند.

محصولات آسیب‌پذیر
تمامی نسخه‌های قبل از 9.6 از این آسیب‌پذیری تأثیر می‌پذیرند.

توصیه‌های امنیتی
لازم است که تمام کاربران، هرچه سریع‌تر نسخه OpenSSH  را به نسخه 9.7 یا جدیدتر ارتقاء دهند.
 
منابع خبر:

[1] https://github.com/openssh/openssh-portable/blob/8241b9c0529228b4b86d88b1a6076fb9f97e4a99/auth-pass…
[2]https://github.com/openssh/openssh-portable/blob/8241b9c0529228b4b86d88b1a6076fb9f97e4a99/monitor.c…
[3] https://access.redhat.com/security/cve/CVE-2023-51767

یک آسیب‌پذیری امنیتی در Exim با شناسه CVE-2023-51766 و شدت متوسط 7.5 شناسایی شده است. این آسیب‌پذیری به مهاجمان از راه دور امکان ارسال پیام‌های ایمیل جعلی به سرور Exim را می‌دهد که منجر به دور زدن مکانیزم‌های حفاظت SPF (Sender Policy Framework) می‌شود. مشکل اصلی مربوط به یک خطا در انتهای خطوطی به غیر از <CR><LF> است. به عبارت دیگر، اگر یک سیستم، انتهای یک خط متنی را با استفاده از کاراکترهایی به جز<CR><LF>  تشخیص دهد، ممکن است تنظیمات SPF که بر اساس استانداردهای مشخص شده برای ارسال ایمیل‌ها می‌باشد، به درستی عمل نکند و مهاجم بتواند از این نقص امنیتی بهره‌برداری کند.

محصولات تحت تأثیر
این آسیب‌پذیری در Exim نسخه‌های 4.00 تا 4.97 وجود دارد.

توصیه‌های امنیتی
تا کنون راه‌حل رسمی برای این آسیب‌پذیری اعلام نشده است، بنابراین به سازمان‌ها و کاربران توصیه می‌شوند که اقدامات امنیتی را تشدید و اجرا کنند. هرچند هنوز بدافزاری برای بهره‌برداری از این آسیب‌پذیری شناخته نشده است؛ اما احتیاط و نظارت برای تحولات احتمالی توصیه می‌شود.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-51766
[2] https://www.cybersecurity-help.cz/vdb/SB2023122404

نقض‌های امنیتی قابل‌توجهی MFA (احرازهویت چند عاملی) را دور زده و احرازهویت کسب وکارها را به خطر انداخته است. SE Labs توصیه می‌کند تلاش‌های خود را برای مقابله با حملات  به سیستم‌های محافظت شده توسط (Multi-factor authentication)MFA  یا  2FA (two-factor authentication)، در پاسخ به افزایش فعالیت مهاجم برای بهره‌برداری از نقاط شکست، با اجرای سیاست قوی، محافظت قوی از end-pointih و آموزش کاربران افزایش دهید. گرچه هنوز از روش‌های قدیمی مهندسی اجتماعی، بدافزارها و فیشینگ استفاده می‌شود و بسیاری از کاربران معتقدند کهMFA  عملاً شکست‌ناپذیر است، ولی ضعیف‌ترین حلقه‌ی دفاعی در یک سازمان یا شرکت می‌باشد. MFA هنوز یکی از بهترین اقدامات امنیتی است که مردم می‌توانند از زمان اختراع رمزعبور تا کنون استفاده کنند، اما وقتی سازمان‌ها دفاع خود را با استفاده از آن تقویت می‌کنند، مهاجمان تکنیک‌ها پیچیده‌تری جهت دور زدن آن بکار می‌گیرند. بنابراین مراکز امنیتی سازمان‌ها باید به مخاطرات MFA توجه کنند و به ویژه به‌دنبال ارتقاء روش‌های احراز هویت مبتنی بر SMS باشند.
«تأیید ورود به سیستم» به روش MFA به‌دلیل انجام یک کلیک ساده، در بین کاربران بسیار محبوب است. همچنن، این روش مورد علاقه مهاجمان نیز هست. هنگامی که مهاجمان اطلاعات‌کاربری به سرقت رفته را از طریق روش‌های شناسایی خود یا خریداری از دارک وب (dark web) بدست می‌آورند، این اطلاعات را به طور مکرر وارد می‌کنند، تا زمانی که کاربری را که حواسش پرت شده یا خسته از دریافت چندین پیام است، به دام بیندازند. گاهی مهاجمان از ایمیل‌های فیشینگ استفاده می‌کنند تا کاربران غیرمحتاط را متقاعد کنند که رمزعبور یک‌بارمصرف خود را در یک وب‌سایت جعلی وارد کنند. یا حتی با به‌دست آوردن و سرقت کپی سیم‌کارت‌، به سادگی کدها را مستقیماً دریافت می‌کنند. 
روش دیگر سرقت کردن session یا کوکی است. در این روش مهاجم به هیچ وجه نیازی به شرکت در فرآیند MFA ندارد. در حالی که چندین روش مختلف برای انجام این حمله وجود دارد، با توجه به افزایش استفاده از رمزگذاری در وب‌سایت‌ها، ممکن است برای سرقت کوکی‌ها ابتدا از بدافزارها استفاده شود. هنگامی که مهاجم این اطلاعات را در اختیار داشته باشد، فقط باید منتظر بماند تا قربانی به درستی وارد سیستم شود و سپس اتصال را تصاحب کند.

منبع خبر:

https://www.helpnetsecurity.com/2023/12/26/tactics-bypass-mfa

آسیب‌پذیری با شناسه CVE-2023-7163 و شدت بحرانی 10.0 در D-Link شناسایی شده است. این نقص امنیتی ناشی از آن است که بسیاری از سرورهای Probe جعلی و کنترل‌شده توسط مهاجم در سرور Core ایجاد می‌شوند، که رابط کاربری وب D-View 8 و مجموعه MongoDB DView8_Probe را آلوده می‌کند. اگر یک سرور Probe کنترل شده (یعنی برای کشف شبکه) توسط کاربران D-View 8 استفاده شود، اطلاعات دستگاه جعلی را می‌توان به سرور اصلی ارسال و در آن ذخیره کرد و در نتیجه امکان افشای اطلاعات و حمله انکار سرویس را برای مهاجم فراهم می‌سازد 

محصولات تحت تأثیر
این آسیب‌پذیری D-View 8 نسخه 2.0.2.89را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
هنوز راهکار امنیتی برای این آسیب‌پذیری منتشر نشده است.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2023-7163